[2] allow-scripts allow-same-origin を併用すると、 フレームの内外が同じ起源になり、内側でスクリプトが実行できるわけですから、 内側のスクリプトが sandbox 属性を削除して再読込できることになります。 つまり実質的に sandbox 属性を無効にしてしまいます >>1。
allow-scripts allow-same-origin
sandbox